You can read this article in English (英語版はこちらから)
概要
このユーザーガイドでは、AD FS をアイデンティティプロバイダとして使用して、SAML IdP Initiated Login のためにIdP を Dubber SSO と統合する方法を説明します。以下の手順では、プロセスを開始するための Dubber へのメール送信、ID プロバイダサービスに対する依拠当事者の信頼性の設定、および請求ルールの設定を行います。
サポートリクエストの発行
IdP Initiated SAML SSO の実装を希望する旨を、Dubber サポートチーム(support@dubber.net)にメールで連絡します。その際、IdP の SAML メタデータ URL、または PEM エンコードされた証明書と IdP の entityId をご提示ください。
IdP における依拠当事者の信頼性の設定
必要な証明書が「AD FS Trusted Root Certificate Authorities」フォルダにインポートされていることを確認します。
AD FS の設定プロセスでは、「Relying Party Trust URL(依拠当事者のURL )」と「Relying Party Trust Identifier(依拠当事者の識別子)」の情報が必要です。
これらの値は、接続の地域に基づいて異なります。正確な値をご使用ください。
地域 |
依拠当事者のURL |
依拠当事者の識別子 |
AU |
||
CA |
||
JP |
||
US |
||
UK |
||
UK1 |
||
EU |
||
SG |
||
Sandbox |
AD FSの設定方法:
- AD FS コンソールを開きます。
- 「 Trust Relationships」をクリックして、フォルダを展開します。
- 「 Relying Party Trusts」フォルダを右クリックして、「Add Relying Party Trust」を選択します。
- 依拠当事者信託の追加ウィザードで、「開始」をクリックします。
- 「 Select Data Source 」ページで、「 Enter data about the relying party manually 」をクリックし「 Next 」をクリックします。
- 「 Specify Display Name 」のページで、「 Display Name 」フィールドに入力します。これは、IdP がユーザー向けのメニューに表示する依拠当事者の名前です。Notes 欄には、依拠当事者の説明を記入します。「 Next 」をクリックします。
- 「 Choose Profile 」ページで、「 AD FS profile 」をクリックし「 Next 」をクリックします。
- 「 証明書の構成」ページでは、証明書をインポートしないでください。「 Next 」をクリックします。
- 「 Configure URL」ページで、「Enable support for the SAML 2.0 WebSSO protocol」オプションを選択し、「Relying party SAML 2.0 SSO service URL」フィールドに「Relying Party Trust URL」を入力し「 Next 」クリックします。
- 「 Configure Identifiers」ページで、「Relying Party Trust Identifier」フィールドに依拠当事者の識別子を入力して、「Add」をクリックした後「 Next 」クリックします。
- 「 Choose Access Control Policy 」ページで、必要に応じて設定し「 Next 」をクリックします。
- 「 Ready To Add Trust」ページで、「Advanced」タブを開きます。
- 「 Secure hash algorithm 」セクションで「 SHA-256」を選択し「 Next 」をクリックします。
💡注意:「Relying Party Trusts」リストからセキュアハッシュアルゴリズムを選択できない場合は、作成した依拠当事者の信頼を右クリックして、メニューから「Properties」オプションを選択します。「詳細」タブで、セキュアハッシュアルゴリズムが「SHA-256」に設定されていることを確認します。 - ウィザードを閉じたときに「クレームルールの編集」を開くオプションを選択した後「閉じる」をクリックします。
請求ルールの設定
- 「 Relying Party Trusts」を開き、作成したエントリを右クリックします。「 Edit Claim Issuance Policy 」を選択します。
- SAML Response Active Directory またはその他の属性ストアで使用する適切な属性を取得し、それを NameId クレームとして送信するルールを設定します。この属性は、NameId タイプが unspecified の場合は、Dubber でのユーザーのプロビジョニングに使用される Dubber userId の値と一致し、NameId タイプが email の場合は、Dubber のユーザー名(email)と一致する必要があります。
例)
テンプレート: LDAP属性をクレームとして送信
クレームルール名: LDAPクレームの取得
LDAP属性: SAM-Account-Name
送信されるクレームの種類: NameID
💡注意:「Outgoing Claim Type」がメニューにない場合は、値を入力するか、NameIDをコピーして フィールドに貼り付けます。
- SAML 応答で NameID 値を正しい形式で小文字で送信するように、別のルールを設定します。
例)
テンプレート: カスタムルールを使用したクレームの送信
クレームルール名: NAME to NameId
カスタムルール: c:[Type == "NameID"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = RegExReplace(RegExReplace(RegExReplace(RegExReplace(RegExReplace(RegExReplace(RegExReplace(RegExReplace(RegExReplace(RegExReplace(RegExReplace(RegExReplace(RegExReplace(RegExReplace(RegExReplace(RegExReplace(RegExReplace(RegExReplace(RegExReplace(RegExReplace(RegExReplace(RegExReplace(RegExReplace(RegExReplace(RegExReplace(RegExReplace(c.Value, "A", "a"), "B", "b"), "C", "c"), "D", "d"), "E", "e"), "F", "f"), "G", "g"), "H", "h"), "I", "i"), "J", "j"), "K", "k"), "L", "l"), "M", "m"), "N", "n"), "O", "o"), "P", "p"), "Q", "q"), "R", "r"), "S", "s"), "T", "t"), "U", "u"), "V", "v"), "W", "w"), "X", "x"), "Y", "y"), "Z", "z"), ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified");
💡注意事項
a) “[Type == "NameID"]” で指定されたタイプは、LDAPクレームを取得するために作成したルールで指定した「送信クレームタイプ」と一致する必要があります。
b) nameIdの値としてメールアドレスを使用している場合は、プロパティに urn:oasis:names:tc:SAML:1.1:nameid-format:emailを使用することができます。
- 「 Finish 」をクリックします。
- 「 Edit Claim Rules」ウィンドウで「OK」をクリックしてルールを保存します。